‘WannaCry’ exhibe carencia de ciberseguridad en México
A pesar de que el artículo 20 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LPDPPP) en México obliga a que las empresas informen si han sido vulneradas de forma cibernética, esto es de manera general, y el artículo no contempla una sanción por ello, lo que de acuerdo con analistas dificulta el seguimiento, impacto y reacción ante un incidente de este tipo, como es el caso de WannaCry.
“Existe normatividad sectorial, como por ejemplo en materia bancaria, que también obliga a las instituciones afectadas a notificar a los usuarios afectados la vulneración de la seguridad de su información. El tema es que realmente no hay sanción por su incumplimiento”, dijo Rodrigo Orenday, abogado y asociado senior del grupo de Tecnología, Medios y Telecomunicaciones de Santamarina y Steta, en entrevista con Expansión.
Actualmente reportar un ciberataque, de cualquier índole, es una obligación en países como Estados Unidos y Reino Unido, y tras el reciente hackeo de ransomware WannaCry, analistas como Orenday y otros advierten que no tener un marco regulatorio fuerte ha dejado expuestas las ineficiencias de la industria en México. La obligación del artículo de la LPDPPP solo contempla que las empresas informen de hackeos en caso de robo de información sensible, lo que en todo caso, no incluiría el móvil de ransomware que solo encripta el acceso a los datos.
Los expertos coincidieron en la necesidad de endurecer las medidas y protocolos empresariales y de gobierno al suscitarse un hackeo.
Lee: ¿Cómo protegerte de WannaCry?
“Todos los gobiernos y todas las autoridades deberían estar involucrados en estas conversaciones. En el caso de WannaCry, es solo una familia de ransomware, pero éste es uno de los muchos exploits que seguirán siendo funcionales y van a venir más”, dijo Dmitry Bestuzhev, director del equipo global de investigación y análisis de Kaspersky Lab en América Latina.
Bestuzhev advirtió que si se lanza una campaña paralela, el nivel de respuesta ante el ataque no cambiará mucho. “Hay un tremendo espacio subaprovechado para cómo luchar con el crimen cibernético”, dijo.
No pasa nada
A pesar del impacto histórico que han tenido los ciberataques en los últimos años, ya sea económico, en cuanto a filtración de datos sensibles o bien de la reputación para empresas o gobiernos, existen algunas compañías que no ven como algo vital el endurecer estas reglamentaciones.
Para Gustavo Chapela, director general de Sm4rt, unidad de negocio de Seguridad de la Información de KIO Networks, el hecho de que las empresas avisen sobre un incidente depende de cada firma y geografía.
Lee: Si eres víctima de WannaCry, ¡no pagues el rescate!
“No estoy en política y en efecto en México no tenemos esa ley, pero creo que depende el contexto de cada geografía si es o no conveniente. Tenemos la ley de protección de datos personales, bastante avanzada y aunque no cubre todo, las empresas somos responsables de los datos de los usuarios. Ahí, hay un avance pero la problemática es aún joven y los problemas cibernéticos tienen muchos huecos a nivel legal, no solo en México, también en el mundo”, dijo Chapela en entrevista.
Entre 2012 y 2016, 113 empresas violaron la (LPDPPP), según datos del INAI; Orenday agregó que el hecho de que este tipo de ataques en el país no sean elevados a una mayor instancia, no quiere decir que no sucedan y existe un rezago legal para abordarlos y sancionarlos.
“Como suelo decir en presentaciones y conferencias en México las vulneraciones de seguridad informática parecen ser como los embarazos no deseados en las buenas familias: cosas que simplemente no pasan. O la información de México/los mexicanos no vale un centavo (lo cual dudo), o México tiene sistemas informáticos inexpugnables (lo cual dudo aún más), o las cosas pasan sin que se cumpla la obligación de notificar a los afectados”, dijo.
El abogado advirtió que es urgente y necesario que se lleven a cabo mayores acciones legislativas en materia de seguridad.
Tras el ransomware, WannaCry más de 150 países han sido impactados y de acuerdo con datos de Kaspersky Lab, México es el país más afectado en América Latina y el quinto a nivel mundial.